¿Cómo saber si has sido víctima de SIM swapping y cómo protegerte?

Imagina que un momento estás revisando tu teléfono y al siguiente, tu servicio desaparece. Tus mensajes no llegan y no puedes hacer llamadas. Esto podría ser más que un simple fallo de red; podría ser la primera señal de que eres víctima de SIM swapping.

Puedes pensar: “Esto no me pasará a mí”, pero ni siquiera las figuras de alto perfil son inmunes. ¿Recuerdas cuando Jack Dorsey, el ex director ejecutivo de Twitter, tuvo su cuenta de Twitter hackeada? Eso fue un SIM swap. Esta guía explicará todo lo que necesitas saber, incluyendo cómo saber si has sido víctima de SIM swapping y, lo más importante, cómo protegerte.

 

SIM swapping: La anatomía de un atraco digital

Un ataque de SIM swapping, también conocido como estafa de SIM swap, SIM splitting o estafa de portabilidad, es un tipo de fraude de toma de control de cuenta. Aquí está la idea principal: un estafador convence a tu proveedor de telefonía móvil para que cambie tu número de teléfono a una tarjeta SIM que él controla. Una vez que tienen tu número, pueden interceptar tus llamadas y mensajes de texto. Esto es especialmente peligroso porque muchos servicios en línea, incluyendo bancos y redes sociales, utilizan SMS (mensajes de texto) para enviar contraseñas de un solo uso (OTP) para la autenticación de dos factores (2FA). Si un hacker controla tu número, puede recibir estos códigos y eludir esta medida de seguridad, obteniendo acceso a tus cuentas sensibles.

Los atacantes son astutos y utilizan un proceso de varios pasos para explotar a los operadores móviles y engañarlos para que realicen el cambio. Así es como lo hacen:

1. Recopilar información (Phishing e investigación): Primero, el atacante necesita recopilar información personal sobre ti. Pueden hacerlo a través de correos electrónicos o mensajes de texto de phishing, acecho en redes sociales, violaciones de datos o malware.

2. Contactar al operador móvil: Armado con tu información, el atacante se pone en contacto con tu compañía de telefonía móvil. Pretenderán ser tú.

3. Ingeniería social con el operador: Aquí es donde entra la parte de “ingeniería social”. El atacante utiliza la información que recopiló para sonar convincente y responder a preguntas de seguridad.

4. Portar el número: Si tiene éxito, el operador desactiva tu tarjeta SIM y activa la nueva tarjeta SIM en posesión del atacante. Tu número de teléfono ahora está efectivamente “portado” o transferido a su dispositivo.

5. Acceder a cuentas: Con el control de tu número de teléfono, el atacante ahora puede empezar a restablecer contraseñas para tus cuentas en línea. Solicitarán códigos de restablecimiento de contraseña (esos OTP por SMS), que serán enviados a la tarjeta SIM que ahora controlan. Luego pueden acceder a tu correo electrónico, cuentas bancarias, monederos de criptomonedas, redes sociales y más.

La vulnerabilidad de los OTP por SMS

Las contraseñas de un solo uso basadas en SMS son comunes porque casi todo el mundo tiene un teléfono móvil capaz de recibir mensajes de texto. Es una forma conveniente de añadir una capa extra de seguridad. Cuando inicias sesión en algún lugar, después de ingresar tu contraseña, el servicio envía un código corto a tu teléfono. Luego ingresas ese código para demostrar que eres tú.

El problema es, como hemos visto, que si alguien más controla tu número de teléfono a través de un SIM swap, ellos reciben esos códigos en lugar de tú. Esto convierte a los OTP por SMS en un eslabón débil. Aunque es mejor que no tener 2FA en absoluto, se elude fácilmente una vez que un SIM swap tiene éxito. Esta es una razón clave por la que es crucial entender cómo saber rápidamente si has sido víctima de SIM swapping.

¿Quién está en riesgo?

Es fácil pensar que el SIM swapping es un delito reservado para los ricos y famosos, pero esa es una concepción errónea peligrosa. Si bien las personas de alto perfil, especialmente aquellas conocidas por tener activos significativos en criptomonedas, son definitivamente objetivos atractivos, no son las únicas. Las noticias a menudo se centran en estos grandes casos porque acaparan titulares. Sin embargo, la realidad es que los atacantes buscan oportunidades dondequiera que puedan encontrarlas. Asumir que “no eres lo suficientemente importante” como para ser un objetivo es un error.

La gente promedio se está convirtiendo en víctima de SIM swapping. Piénsalo:

• Tus perfiles de redes sociales pueden contener información personal, o un atacante podría usar una cuenta comprometida para difundir estafas a tus amigos y familiares.

• Tu correo electrónico es a menudo la clave para restablecer contraseñas de muchos otros servicios.

• Incluso si no tienes millones, los atacantes podrían vaciar cuentas bancarias más pequeñas y realizar compras fraudulentas con los datos de tu tarjeta de crédito almacenados en línea.

• A veces, el objetivo no es el robo financiero directo. Podría ser robar datos personales para un robo de identidad más amplio, acosar a alguien o obtener acceso a cuentas relacionadas con el trabajo si usas tu teléfono personal para negocios.

Tu información pública te está convirtiendo en un objetivo. Cuanta más información sobre ti esté disponible públicamente, más fácil será para un atacante construir un perfil y hacerse pasar por ti.

Desde compartir demasiada información en redes sociales que a menudo consiste en respuestas a preguntas de seguridad hasta completar cuestionarios en línea que solicitan información personal. Cuanto menos compartas públicamente, más difícil será para los atacantes reunir la munición que necesitan para un SIM swap.

 

Cómo detectar el SIM swapping a tiempo: Señales de que estás bajo ataque

Conocer las señales de advertencia es tu primera línea de defensa, y reaccionar rápidamente puede marcar una gran diferencia. Si notas alguna de estas, actúa de inmediato:

1. Pérdida repentina del servicio telefónico: Esta es la señal de alarma más grande. Si tu teléfono de repente muestra “Sin servicio” o “Solo llamadas de emergencia” durante un período prolongado, especialmente cuando estás en un área donde normalmente tienes buena recepción, sospecha.

2. Mensajes inesperados de activación de la tarjeta SIM: Podrías recibir un mensaje de texto de tu operador diciendo que tu tarjeta SIM ha sido activada en un nuevo dispositivo, o que se ha iniciado una solicitud de portabilidad, aunque tú no hayas hecho nada.

3. Imposibilidad de iniciar sesión en cuentas: Te encuentras bloqueado de tus cuentas bancarias, de correo electrónico o de redes sociales, y los intentos de restablecimiento de contraseña no funcionan.

4. Actividad sospechosa en la cuenta: Ves notificaciones de cambios de contraseña que no realizaste, correos electrónicos sobre inicios de sesión desde ubicaciones desconocidas, o transacciones no autorizadas en tus extractos bancarios o de tarjeta de crédito.

5. Llamadas y mensajes de texto que no te llegan: Amigos o familiares te dicen que han intentado llamarte o enviarte mensajes de texto, pero no has recibido nada.

No esperes a que ocurra un desastre. Configura alertas donde sea posible:

• Alertas bancarias y de tarjetas de crédito: Habilita las notificaciones para todas las transacciones, intentos de inicio de sesión y cambios de perfil.
• Alertas de seguridad de correo electrónico: Muchos proveedores de correo electrónico te notificarán sobre inicios de sesión desde nuevos dispositivos o ubicaciones. Presta atención a esto.
• Alertas del operador: Algunos operadores móviles ofrecen alertas para cambios de SIM o solicitudes de portabilidad. Verifica si el tuyo lo hace.

Para ilustrar aún más cuán rápido pueden escalar las cosas para cualquiera, te traemos el siguiente caso de la vida real. Una noche de septiembre, el desarrollador web independiente Justin Chan notó que su iPhone pasaba al modo “SOS”. Minutos después, su línea de Xfinity Mobile quedó muerta. En cuestión de horas, los atacantes se hicieron pasar por él, portaron su número y transfirieron $38,000 de su cuenta conjunta del Bank of America mientras él dormía. El Bank of America inicialmente negó su reclamo de fraude, pero después de meses de presión mediática, finalmente recuperó la cantidad total, prueba de que la persistencia importa cuando los segundos deciden tu destino.

 

Cómo protegerse contra el SIM swapping

La prevención es siempre mejor que la cura. Aquí te mostramos cómo puedes reforzar tus defensas.

• Usa una contraseña diferente y compleja para cada cuenta en línea. Un administrador de contraseñas puede ayudarte a crearlas y almacenarlas de forma segura. Y ve más allá de los SMS para 2FA: Dado que los OTP por SMS son vulnerables al SIM swapping, utiliza formas más fuertes de autenticación multifactor (MFA) siempre que sea posible. Puedes usar aplicaciones de autenticación, claves de seguridad de hardware o biometría (huella dactilar o reconocimiento facial, si se ofrece).

• Ponte en contacto con tu proveedor de telefonía móvil y pregunta sobre opciones de seguridad como PIN/Contraseña de SIM o PIN/Contraseña de cuenta. Además, puedes solicitar autenticación mejorada; algunos operadores ofrecen preguntas de seguridad adicionales o requieren verificación en persona para solicitudes de portabilidad.

Qué hacer si eres el objetivo

Si sospechas que está ocurriendo un SIM swap o que acaba de ocurrir:

1. Ponte en contacto con tu operador móvil INMEDIATAMENTE: Usa un teléfono diferente o ve a una tienda física si es necesario. Diles que sospechas de un SIM swap fraudulento o una portabilidad. Pídeles que desactiven la SIM no autorizada y restauren el servicio a tu SIM legítima.

2. Cambia las contraseñas: Empieza por tus cuentas más críticas: correo electrónico, banca y servicios financieros. Luego continúa con las redes sociales y otras cuentas en línea.

3. Verifica la actividad de la cuenta: Revisa minuciosamente tus cuentas bancarias, extractos de tarjeta de crédito y correo electrónico en busca de transacciones o actividad no autorizada.

4. Notifica a tus contactos: Si tu red social o correo electrónico fue comprometido, informa a tus contactos que fuiste hackeado y que tengan cuidado con cualquier mensaje extraño de tus cuentas.

5. Denuncia el delito: Reporta el SIM swap a las autoridades relevantes como la Comisión Federal de Comercio (FTC) en EE. UU. o a la policía local.

6. Considera congelar tu crédito: Esto puede evitar que los atacantes abran nuevas líneas de crédito a tu nombre.

Recuerda, los atacantes confían en engañarte. Así que, mantente vigilante:

• No hagas clic en enlaces ni descargues archivos adjuntos en correos electrónicos, mensajes de texto o mensajes de redes sociales inesperados.
• Ninguna compañía legítima te llamará o enviará mensajes de texto para solicitar tu contraseña de un solo uso, contraseña o PIN de cuenta.
• No compartas demasiado en línea. Sé escéptico ante cualquiera que te pida detalles personales, especialmente por teléfono o correo electrónico. Si una empresa te llama, cuelga y vuelve a llamarles usando su número oficial de su sitio web.
• Busca gramática deficiente, amenazas urgentes, saludos genéricos o solicitudes de información sensible.
  Comprender estas tácticas te ayuda a detectar señales de alarma antes de convertirte en víctima.

 

El futuro del SIM swapping: ¿Disminuye la amenaza?

Con la tecnología en constante evolución, ¿qué depara el futuro para el SIM swapping? Si bien es poco probable que desaparezca por completo de la noche a la mañana, varios avances lo están haciendo más difícil:

• Autenticación multifactor más sólida: A medida que más usuarios y servicios adoptan aplicaciones de autenticación y claves de seguridad de hardware, la dependencia de los OTP por SMS disminuirá, haciendo que el SIM swapping sea menos fructífero para acceder a muchas cuentas.

• Seguridad mejorada del operador: Los operadores están mejorando lentamente sus protocolos de seguridad, en parte debido a la presión regulatoria y la concienciación pública. Los procesos de verificación de identidad más estrictos para portar números y cambios de SIM son cada vez más comunes.

• Tecnología eSIM: Las eSIM son SIMs integradas directamente en tu teléfono. No se pueden quitar y cambiar físicamente como las tarjetas SIM tradicionales. Aunque un atacante aún podría intentar engañar a un operador para transferir tu perfil eSIM a su dispositivo mediante ingeniería social, el proceso a menudo es más seguro y puede implicar una verificación más robusta. Empresas como Yoho Mobile ofrecen eSIMs, lo que puede contribuir a una experiencia móvil más segura cuando se combina con otras buenas prácticas de seguridad.

Toma el control de tu seguridad móvil: prueba la prueba gratuita de eSIM de Yoho Mobile y experimenta una conectividad más segura mientras viajas. Sin una SIM física que intercambiar y sin contratos a largo plazo, obtienes tranquilidad y acceso instantáneo a datos móviles en la mayoría de los países. Cuando estés listo para cambiarte a esta solución más inteligente y segura, usa nuestro código de cupón YOHO12 al finalizar la compra para obtener un 12% de descuento en tu plan eSIM.

 

Sin embargo, mientras exista la 2FA por SMS y la ingeniería social siga siendo efectiva, es probable que el SIM swapping persista de alguna forma. Además, los ciberdelincuentes siempre se están adaptando. A medida que el SIM swapping tradicional se vuelve más difícil, podrían evolucionar sus tácticas:

• Ataques basados en malware: En lugar de atacar al operador, el malware en tu teléfono podría interceptar directamente mensajes SMS o códigos de aplicaciones de autenticación.
• Explotación de dispositivos IoT: A medida que más dispositivos se conectan a internet, los atacantes podrían encontrar vulnerabilidades en dispositivos IoT que están vinculados a tu número de móvil o cuentas.
• Ingeniería social impulsada por IA: Se podría usar IA para crear mensajes de phishing más convincentes o incluso llamadas de voz deepfake para imitar a individuos de manera más efectiva.

El juego del gato y el ratón entre los profesionales de la seguridad y los ciberdelincuentes continuará. Mantenerse informado y practicar una buena higiene digital seguirá siendo crucial.

 

Preguntas frecuentes: Las preguntas más comunes sobre SIM swapping

¿Puede un SIM swap afectar mi cuenta bancaria?

Sí. Si tu banco utiliza OTP por SMS, los atacantes pueden interceptar estos códigos a través de un SIM swap para acceder a tu banca en línea, transferir fondos o cambiar detalles.

¿En qué se diferencia el SIM swapping del robo de identidad?

El SIM swapping es un método (obtener control de tu número de teléfono) que puede llevar a un robo de identidad más amplio (robar información personal para hacerse pasar por ti con fines de lucro financiero).

¿Qué es la portabilidad del número móvil y cómo influye en el SIM swapping?

La Portabilidad del Número Móvil (PNM) te permite mantener tu número de teléfono al cambiar de operador. Los atacantes abusan de esto engañando a un operador para que porte tu número a su SIM, pretendiendo ser tú y haciendo una solicitud legítima.

¿Existen servicios de “bloqueo de SIM” ofrecidos por los operadores?

Sí, muchos operadores ofrecen servicios de “bloqueos de cuenta” o “congelación de portabilidad”. Estos requieren un PIN adicional o una verificación más estricta antes de que tu número pueda ser portado. Ponte en contacto con tu operador para configurarlos.